如何检测入侵?
我们的计算机系统和信息的安全性始终处于危险之中。Web的广泛发展以及入侵和攻击网络的工具和技巧的可访问性的增加,促使入侵检测成为网络管理的一个重要元素。入侵可以表示为威胁网络资源(包括用户帐户、文件系统、系统内核等)的完整性、机密性或可用性的任何事件集。
一些商业入侵检测系统是有限的,不支持完整的解决方案。这种系统通常采用误用检测方法。滥用检测搜索连接已知入侵场景的程序或用户行为的设计,并将其保存为签名。
这些手工编码的签名得到了人类专业人员基于他们对入侵方法的广泛了解的辛勤支持。如果发现模式匹配,则这表示将为其构造警报的事件。人类安全分析师计算警报以确定要采取什么行动,无论是关闭系统的一部分,向相关的网络服务提供商发出可疑流量的警报,还是轻松地注意到异常流量以供将来参考。
用于庞大复杂网络的入侵检测系统通常每天可以发出数千或数百万次警报,为安全分析师定义了压倒性的服务。由于系统不是静态的,每当出现新的软件版本或网络配置发生变化时,都需要升级签名。限制是误用检测只能识别连接签名的情况。特别是它无法检测新的或以前未知的入侵方法。
可以通过异常检测方法发现新的入侵。异常检测构建正常网络行为(称为配置文件)的模型,它可以检测明显偏离配置文件的新模式。这种偏差可以定义实际的入侵,或者只是需要添加到配置文件中的新行为。
异常检测的好处是它可以检测尚未观察到的新入侵。通常,人类分析师应该通过偏差来确定哪个定义了真正的入侵。异常的定义因素异常检测的好处在于它可以检测尚未观察到的新入侵。通常,人类分析师应该通过偏差来确定哪个定义了真正的入侵。异常检测的一个决定性因素是误报率很高。可以将新的入侵模式插入到用于误用检测的签名集中。